Twitter Hack

Bitcoin-Betrüger erbeuteten 6-stelligen Betrag mit Promi Twitter Hack

, München, Knowbe4 | Autor: Herbert Wieler

Bitcoin-Betrüger erbeuteten 6-stelligen Betrag mit Promi Twitter Hack

Viele Follower wurden getäuscht

Von Jelle Wieringa, Security Awareness Advocate bei Knowbe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Auf Konten von Prominenten und Politikern wurden sie dazu aufgefordert eine Summe in Bitcoin zu überweisen und im Gegenzug eine höhere Summe dafür zurück zu bekommen. Das Ganze klingt zu gut, um wahr zu sein. Vor einigen Jahren gab es eine ähnliche, damals tatsächlich wahre Aktion von der deutschen Partei „DIE PARTEI“. Damals jedoch andersherum. Für 25 Euro konnten 20 Euro erworben werden, um der Partei dabei zu helfen, durch ein Gesetz an Fördermittel zu gelangen, welche die Partei für vorgewiesene Einnahmen erlangte. Warum also diesmal nicht auch andersherum?

Es handelt sich bei dem neuesten Fall jedoch um einen Betrugsversuch. Auf offizielle Konten, beispielsweise US-Präsidentschaftskandidat Joe Biden hieß es, dass sie jedem, welcher Bitcoins an eine E-Mail-Adresse schickt, das Doppelte der Einzahlung zurückschicken würden. Ähnliche Betrügereien wurden in der Vergangenheit über Fake-Accounts durchgeführt, diesmal war es jedoch täuschend echt. Einem Hacker oder einer Hackergruppe war es offenbar gelungen, zahlreiche echte und von Twitter sogar mit einem blauen Haken verifizierte Konten zu übernehmen.

Die Plattform geht von einem koordinierten Social-Engineering-Angriff aus. Demnach sei es den Angreifern gelungen, einige von Twitters Mitarbeitern mit Zugang zu internen Systemen und Werkzeugen zu täuschen. Wie genau sich die Twitter-Miarbeiter täuschen ließen, ist bisher nicht bekannt. Bekannte Methoden sind Spear-Phishing, also gezielte und vorbereitete Phishing-Mails die auf einzelne Mitarbeiter zugeschnitten werden, oder Vishing, also Voice Phishing. Dabei werden die Opfer mit falschen Telefonaten in die Falle gelockt. Erschreckend ist an der gesamten Ausführung der Betrugsmasche zudem, dass es offensichtlich den Mitarbeitern selbst auch möglich gewesen wäre, auf den Accounts von Prominenten unter deren Namen Beiträge zu veröffentlichen.

Auch mit offensichtlichen Fallen wie diesen werden die Cyber-Kriminelle in der Zukunft weiterhin Erfolg haben. Insgesamt bin ich der Meinung, dass die Kriminellen, wie zum Beispiel beim Apple iCloud-Hack vor einigen Jahren, bei welchem Menschen persönliche Daten hinterlassen, versuchen werden, diese Medien gezielt zu nutzen, um andere zu manipulieren. Besonders wenn es sich um Prominente mit großer Anhängerschaft handelt.

Unternehmen können ihre Mitarbeiter, Kunden und letztlich auch sich selbst schützen. Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei, bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.